GDPR – det här behöver du veta!

Det är nu mindre än ett år innan GDPR träder i kraft. Har du inte börjat förbereda dig på vilka förändringar och krav den nya förordningen innebär är det hög tid att sätta dig in i det. Vi hjälper dig på traven och ger dig koll på det grundläggande och viktigaste.

GD … vadå?

GDPR står för General Data Protection Regulation, på svenska kallad Allmänna dataskyddsförordningen. Det handlar kortfattat om en EU-förordning som syftar till att stärka skyddet för privatpersoner vid behandling av personuppgifter. När den träder i kraft 25 maj 2018 ersätter den Dataskyddsdirektivet från 1995, samt alla medlemsländers nuvarande nationella bestämmelser. I Sveriges fall handlar det om PUL, Personuppgiftslagen, som får lägga sig i graven.

Det djupare syftet med GDPR att ge medborgarna i EU starkare rättigheter och att harmonisera lagstiftningen mellan medlemsländerna – något som Dataskyddsdirektivet från 1995 inte riktigt uppfyllde då det var det i slutändan var upp till varje enskilt land att implementera regelverket och tolka det. Med GDPR gäller däremot samma lagtext i alla EU-länder.

Tanken är helt enkelt att medborgarnas integritet ska stärkas och vara likvärdig. Det innebär till exempel att det kommer att ställas krav på att företag och andra organisationer ska informera om vilka uppgifter de hanterar, hur de hanterar uppgifterna samt varför de hanteras. Medborgare ska också ges utökade möjligheter att under vissa omständigheter säga nej till att deras personuppgifter används. Till exempel blir det lättare att slippa oönskad direktreklam. I GDPR:s utökade integritetsskydd ingår också rätten för EU-medborgarna att ”bli glömda” – om ett sökresultat är oriktigt, irrelevant, eller överflödigt ska det bli en rättighet att få dylika uppgifter raderade.

I Sverige är det Datainspektionen som agerar tillsynsmyndighet med uppdraget att kontrollera att regelverket följs och bestraffa de aktörer som bryter mot lagen. Företag som är verksamma i flera länder kommer att kontrolleras av den nationella tillsynsmyndighet i land där företaget har sin bas.

Okej, jag förstår. Men hur berör det min organisation?

GDPR ställer som sagt nya krav på alla företag, myndigheter och organisationer som samlar in och hanterar personuppgifter. Enkelt uttryckt kan sägas att GDPR konkretiserar regelverket kring skyddet av personlig data, och förtydligar ansvaret kring uppgifter som hanteras och lagras.

Till exempel ställs nya krav på rapportering vid dataintrång, något som allt fler företag och myndigheter drabbats av de senaste åren. Den organisation som utsätts för dataintrång eller som på något annat sätt förlorar kontrollen över personuppgifterna som hanteras, måste i framtiden informera både de personer som uppgifterna berör och tillsynsmyndigheten Datainspektionen inom 72 timmar. Detta gäller utan undantag om incidenten bedöms vara allvarlig, exempelvis om förlusten kan innebära att personer utsätts för diskriminering, id-stölder, bedrägerier eller finansiella förluster. Rapportplikten gäller både om den som hanterar personuppgifterna råkat ut för en extern attack och om de själva begått misstag.

En annan stor förändring med GDPR är att du måste kunna visa vad du vill göra med de personuppgifter du samlar in. PUL var mer inriktat på hur data hanterades efter insamling, men GDPR kommer göra det betydligt svårare att ha dolda syften med att spara personuppgifter. Det innebär förstås också att alla som slentrianmässigt har samlat in personuppgifter bör se över varför man gör det och vilka personuppgifter det faktiskt finns en mycket tydlig anledning att spara

I Sverige har vi tidigare också haft en undantag i PUL. Har man sparat personuppgifter i löpande text och enklare listor har den hanteringen kunnat göras med stöd i den så kallade missbruksregeln som gjort det möjligt att hantera personuppgifter så länge det inte kan anses kränkande för någon. Den regeln försvinner helt och hållet i och med den nya lagen.

En annan viktig aspekt är att det helt och hållet är upp till dig att se till att din organisation uppfyller de krav som GDPR ställer – det spelar alltså ingen roll om ni använder er av en molntjänstleverantör eller annan extern partner för datalagring.

Ajdå, det här verkar lite krångligt. Vad händer om min organisation inte uppfyller kraven?

Tja, vi börjar väl med det jobbigaste. GDPR stipulerar att du ska kunna visa att förordningen följs, vilket i många fall medför nya krav på ökad dokumentation.

Om så inte görs finns det möjligheter för tillsynsmyndigheten att i döma ut en administrativ sanktionsavgift på upp till maximalt 20 miljoner euro eller fyra procent av organisationens omsättning om det skulle visa sig att en organisation grovt missköter sin behandling av personuppgifter. Det handlar med andra ord om minst sagt kännbara spöstraff för de som inte sköter sig.

Bedömningen görs som sagt i första hand av tillsynsmyndigheten i varje land, men det kommer också finnas en central dataskyddstyrelse i EU som tar fram riktlinjer och fattar beslut om tolkningar.

Hur sanktionsavgifterna ska se ut för myndigheter och den offentliga sektorn är fortfarande upp till varje medlemsland att avgöra. I Sverige finns ett förslag på att de ska ligga på mellan 10 och 20 miljoner kronor – belopp på ungefär samma nivå som för brott mot miljö- och arbetsmarknadslagar.

Okej, böter låter ännu jobbigare. Hur gör jag för att förbereda min organisation?

Bra, nu har du förstått hur viktigt det är att du sätter dig in i vad GDPR är och hur du påverkas. Då kan vi fokusera på vilket arbete du bör ta tag i. Först och främst bör du se till att beslutsfattare och andra nyckelpersoner i organisationen blir lika medvetna som du om vad GDPR är och hur den påverkar just er. Därefter bör ni se över om och hur och varför ni hanterar personuppgifter. Kanske hittar ni omedelbart saker ni måste förändra eller arbeta hårdare med? Det här kan förstås innebära att ni måste tänka om kring både nya och befintliga IT-system men gör det nu så slipper ni morgondagens huvudvärk. Väntar ni blir både jobbet svårare och tiden knappare och risken för misstag ökar. Det kan utan tvekan kosta mer än det smakar att skjuta upp det här arbetet.

Konkret kan det delas in i några fåtal punkter att ta tag i.

• Riskanalys

GDPR ställer krav på att alla som hanterar personuppgifter ska genomföra en riskanalys kring användandet av informationen. Bland annat bör analysen identifiera vilken typ av information ni hanterar och för vilket syfte, vilka risker det kan innebära och vilka konsekvenser olika incidenter skulle kunna få. Tanken med riskanalysen är att den ska ge er verktyg för att kunna arbeta så säkert som möjligt med personuppgifter. Framför allt gäller det att ha koll på informationen, hur och varför den används och vem som har åtkomst till den. I GDPR finns något som kallas ”privacy by default” vilket i korthet betyder att ni som organisation måste känna er egen data, och de system som hanterar informationen. Vi upprepar att detta inte är något som ni kan lägga över på en it-leverantör. Varje organisation måste ställa sig själva en rad frågor, och hitta svaren i god tid innan GDPR träder i kraft nästa år.

• Policys och dokumentation

Som vi tidigare nämnde ställer GDPR hårda krav på bra dokumentation – inte minst då Datainspektionen när som helst kan begära ut policys, styrdokument, processer och liknande kring hanteringen av personlig information. Säkerställ därför att dessa dokument är uppdaterade – detta gäller även dina kontrakt alla eventuella leverantörer och partners.

• Dataskyddsansvarig (Data Protection Officer)

Organisationer som hanterar personuppgifter behöver någon som ansvarar för frågor som rör dataskyddet. I GDPR är det ett fastställt krav att företag som hanterar mer än 5 000 personuppgifter per år måste ha tillsatt en dataskyddsansvarig, ett antal som det går ganska snabbt att komma upp så chansa inte på att du inte omfattas.

• Incidenthantering

Se till att riskanalysen utmynnat i en incidenthanteringsplan som fungerar om olyckan väl skulle vara framme. Vid dataintrång är det till exempel av allra största vikt att veta vad som ska göras, hur det ska göras och vem som ska ansvara för det. Du måste kunna agera omedelbart för att minimera skadeverkningarna och riskerna för förlust av personuppgifter.

• Kommunikationsplan

GDPR ställer nya krav på hur du ska kunna kommunicera med berörda intressenter om någon önskar att få ta del av den personliga information som finns lagrad om vederbörande. En EU-medborgare får som vi nämnt tidigare betydligt starkare rättigheter genom GDPR. Till exempel handlar det om vidarebefordring av data, korrigering av data och rätten att i vissa fall få bli ”glömd”. Du måste säkerställa att både din organisation och de system ni använder kan samagera på att ett bra sätt och att det finns en tydlig plan för hur kommunikationen med motparten ska ske.

• Identifiera gråzonerna

Det här bör egentligen ske under riskanalysen, men är till sin natur dessvärre ofta osynligt i det steget. Vi talar om skugg-IT, det vill säga de enheter, system, program och lagringstjänster som används bortom organisationens vetskap (och godkännande). Det här kan tyvärr innebära en stor risk om personuppgifter kopierats för att lagras på en ”mer lättåtkomlig” plats utöver den som IT-avdelningen hanterar. Se till att prata med din organisation och utbilda dem om vad GDPR faktiskt innebär och vilka konsekvenser misskötsel kan få. Rensa upp skugg-IT och blockera möjligheterna att hantera personuppgifter utanför den godkända och kontrollerade infrastrukturen.